Archivi categoria: Privacy

Videosorveglianza: le nuove regole del Garante della Privacy

L’Autorità Garante per la protezione dei dati personali ha varato le nuove regole per i soggetti (pubblici e privati) che hanno installato telecamere e sistemi di videosorveglianza.
Per adeguarsi alle nuove disposizioni è stato fissato un periodo variabile, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.

Il provvedimento , che sostituisce quello del 2004, introduce importanti novità.

Ecco in sintesi le regole fissate dal Garante.

Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, i cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende etc.) siano collegati alle forze di polizia è necessario apporre uno specifico cartello (allegato n. 2), sulla base del modello elaborato dal Garante.

Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana.

Settori di particolare interesse.

Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubbliciche privati, o che consentono la fornitura di servizi di videosorveglianza “in remoto” da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.

Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l’obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica,prevenzione, accertamento o repressione dei reati. La conservazione dei datinon può superare i 7 giorni.

Sistemi intelligenti: per i sistemi di videosorveglianza “intelligenti” dotati di software che permettono l’associazione di immagini a dati biometrici (es. “riconoscimento facciale”) o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. “motion detection”) è obbligatoria la verifica preliminare del Garante.

Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri,eventuali pedoni). Le fotografie o i video che attestano l’infrazione non devono essere inviatial domicilio dell’intestatario del veicolo.

Deposito rifiuti: lecito l’utilizzo di telecamere per controllare discariche di sostanze pericolose ed “eco piazzole” per monitoraremodalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Settori specifici.

Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all’interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).

Ospedali e luoghi di cura: Vietata la diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E’ ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti, ma l’accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.

Istituti scolastici: ammessa l’installazione di sistemi di videosorveglianza per la tutela contro gli attivandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.

Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni.

Trasporto pubblico: lecita l’installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l’uso di zoom).

Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.

Soggetti privati.

Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.

Lascia un commento

Archiviato in Privacy

Privacy: aggiornamento annuale

Alle Aziende che lo hanno predisposto, ricordiamo il termine del 31 marzo per l’aggiornamento del DPS (documento programmatico sulla sicurezza) come previsto dal punto 19 del “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B al Codice della privacy).

Più in generale, ricordiamo che la normativa sulla privacy prevede che ogni Azienda debba adottare misure di sicurezza nel trattamento dei dati personali.

Un primo tipo di misure sono definite genericamente “idonee e preventive”, finalizzate a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).

A questo primo tipo, l’art. 33 aggiunge la seconda categoria delle “misure minime”: i titolari del trattamento sono, comunque, tenuti ad adottare uno specifico elenco di misure minime (definite in particolare nell’allegato B al Codice della privacy) volte ad assicurare, appunto, un livello minimo di protezione dei dati personali.

Va, anzi, chiarito che le misure di sicurezza devono essere approntate, non solo per i trattamenti effettuati con strumenti elettronici, ma anche per quelli eseguiti in forma cartacea.

Relativamente al trattamento di dati personali effettuato con strumenti elettronici, l’art. 34 dispone che esso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza.

Per quanto riguarda, invece, i trattamenti eseguiti senza l’ausilio di strumenti elettronici, l’art. 35 prevede che lo stesso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Lascia un commento

Archiviato in Privacy

Internet e dipendenti

Le aziende non possono “spiare” la navigazione su Internet dei dipendenti, è illecito monitorare in modo sistematico pagine e siti visitati.

controlloIl principio è stato ribadito dal Garante privacy che ha vietato ad una società il trattamento dei dati personali di un dipendente e ha segnalato il caso all’autorità giudiziaria.

La società aveva monitorato per nove mesi la navigazione on line di un lavoratore attraverso un software in grado di memorizzare “in chiaro”, tra l’altro, le pagine e i siti web visitati, il numero di connessioni, il tempo trascorso sulle singole pagine.
Nel definire il reclamo il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha riconosciuto le ragioni del dipendente.
L’installazione di un software appositamente configurato per tracciare in modo sistematico la navigazione in Internet del lavoratore viola, infatti, lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti.
Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo, autorizzazione della Direzione provinciale del lavoro).
Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante.
In base alle Linee guida fissate dall’Autorità i datori di lavoro possono infatti procedere a eventuali controlli ma in modo graduale, mediante verifiche di reparto, d’ufficio, di gruppo di lavoro prima di passare a controlli individuali.

Lascia un commento

Archiviato in Privacy